昨年末、クレジットカード不正利用という炎上商法で一気に知名度を高めたPayPayさんがまたキャンペーンをやるそうです。
2/12 09:00開始で最大20%戻ってくるということです。 私はPayPayを使ったことはありませんし、使う予定もありませんが、昨年のクレジットカード不正利用はPayPay利用者以外も被害に合う可能性があるものでした。 結局その後、セキュリティ対策をどのように改めたのでしょうか。
事件のおさらい
まずは昨年のクレジットカード不正利用の経緯とPayPay側の対応はどうだったのか、おさらいしておきましょう。
100億円あげちゃうキャンペーン
2018年12月4日から始まったこのキャンペーンは当初2019年3月31日までの予定でしたが、開始からわずか9日後の12月13日に予定金額に到達したとして終了となりました。実質10日間のみの実施です。
その後、12月14日頃から心当たりのないカード利用が確認され始めます。 17日にはペイペイが公式に不正利用を認め、大きく報道されました。
ヤフーとソフトバンクが出資するスマートフォン(スマホ)決済会社のPayPay(ペイペイ、東京・千代田)は17日、スマホの決済サービスで、不正な利用があったことを明らかにした。同社はセキュリティー対策を強化し、被害の拡大を防ぐとしている。 スマホ決済「ペイペイ」、不正利用相次ぐ :日本経済新聞
原因はセキュリティコードの総当りではなかった
一時期ネット上では「PayPayのクレジットカード登録システムがザルで番号総当りで登録ができたからだ」といったような風聞が実しやかに流れていましたが、どうやらこれは違うようです。
確かにセキュリティコードの入力回数に制限を設けるといった対策は取られていなかったようですが、PayPayさん側の発表によると20回以上セキュリティコードの送信を行った上で登録に至ったケースはサービス開始以来13件とのこと。
2018年12月27日時点の調査では、そのうちPayPayでの利用が確認できたのは9件のみで、全て本人による登録であることが確認できているとのことです。
カード裏面に記載されているたった3桁のコードをわざとでもなければ20回以上間違えて入力するなど考えにくいように思いますが…しかし少なくともセキュリティコードの総当りによる登録で不正利用が行われたわけではない、ということははっきりしたわけです。
PayPayさん側は、既に過去になんらかの形で流出していたカード情報が悪用されたという見解です。
PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。 3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について
恐らくそうであろうと私も思います。
ですが、カード名義人/本人確認をすっ飛ばしてカード番号と利用期限、セキュリティコードのみの登録で利用できるというシステムが不正利用の恰好の的となった最大の原因であることは間違いないでしょう。
システム設計時になんらかの対応が必要であると気付け無い、そこにセキュリティへの意識の低さ、センスの無さを感じます。
その後の対策と対応
不正利用発覚後の対策
- 2018年12月18日 クレジットカード番号とセキュリティコードの入力回数に制限を設定
- 2018年12月21日 クレジットカードでの決済金額の上限設定 Yahoo!Japanカードからのチャージ金額上限設定
- 2019年1月21日 3Dセキュアによる本人認証サービスの導入
※これにより、クレジットカード決済、Yahoo!Japanカードからのチャージ金額上限が引き上げ対応 - 2019年2月4日 引き上げた上限金額を再度見直し
2月4日以降の上限金額について
3Dセキュア導入後、本人認証の有無によって上限金額が変わります。
| 期間/本人認証 | 済 | 未 |
|---|---|---|
| 過去24時間 | 2万円 | 5千円 |
| 過去30日間 | 5万円 | 5千円 |
※Yahoo!Japanカードは本人認証が必須のため、認証済と同額の制限になります。
※今後、特定の条件を満たせば個別に上限が引き上げられる可能性があります。
1月21日時点の上限額は25万円でしたから随分絞りましたね。
前回のキャンペーンのように高額商品をたくさん買い漁るという使い方はもう出来ないようです。
PayPayさんの中山CEOも「少額での日常的な利用を促進したい」と言っています。
不正利用に対する補償
不正利用が認められた場合、全額補償となります。
このたびの調査で判明したセキュリティコードを一定回数以上入力し登録に至ったクレジットカードのなかで、PayPayでの利用があったカードに関して、カード会社と連携を進めております。 これらのカードにおいて、カード会社で不正利用の疑いが確認された場合は、カード会社よりご連絡を差し上げ、請求停止や返金等の措置を行っていただくよう要請を行っております。なお、返金額については弊社が全額を補償いたします。 また、お客さまの申告によりカード会社にて不正利用が認められた場合は、同様にカード会社より請求停止や返金等の措置を行い、弊社が返金額の全額を補償いたします。 3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について
1月21日までは安心できない
2019年1月21日までは上限額が設定されただけで登録/利用自体は本人認証なしで行えます。
セキュリティコードの総当りによる不正登録が原因でないのであれば、不正利用者は普通にセキュリティコードを入力して登録を行っていることになります。
他にも不正に入手したカード情報を持っているのならまだ被害が出る可能性があるということです。
PayPayさんを利用していなくても被害者になる可能性があります。12月、1月利用分の明細には特に注意を払いましょう。
長くなってしまったので一旦切ります。
次はPayPayさんが新たに導入したという3Dセキュアなるサービスがどういったものなのか、PayPayさんで本人認証して利用するにはどうすれば良いのか見ていきたいと思います。
